| |
| |||||||
Log-Analyse und Auswertung: System sehr langsam; Wurmkur?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
08.06.2008, 15:40
| #1 |
 |  System sehr langsam; Wurmkur? Hallo. Mein System ist seit geraumer Zeit deutlich langsamer als zuvor. Bisher war mir das einigermaßen egal, da sonst keine negativen Effekte wahrnehmbar waren. (ZoneAlarm meldete regelmäßig, daß ein Dienst nach Hause telefonieren wollte, aber das hab ich dann stets unterbunden.) Gestern aber habe ich gesehen, daß meine ungebetenen Gäste inzwischen sogar meinen Speicherstick bewohnen wollen. Die UFO.exe mit "versteckt"-Attribut hab ich an VirusTotal geschickt, mit folgendem Ergebnis: Code:
ATTFilter Also hab ich doch mal Winpooch angeworfen und der schlug immer dann an, wenn oben erwähnter Dienst rauswählen wollte. WP teilte mir mit, wo die benannte LongX911.Exe sich aufhielt, und ich schickte zügig auch hiervon eine Kopie an VirusTotal: Code:
ATTFilter Danach hab ich mal HijackThis gucken lassen. Der fand im System32-Ordner eine secpol.exe, auch "Niojec.gen"-infiziert. Außerdem wurde beim Start eine fsmgmt.dll geladen, auch "Eldorado"-infiziert, laut VirusTotal. Ein aktueller HJT-Log sieht so aus: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:22:21, on 08.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Winpooch\Winpooch.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\svchost.exe D:\Filme\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Programme\Xi\NetXfer\NXIEHelper.dll O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Programme\Xi\NetXfer\NXToolBar.dll O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Alles mit NetXfer herunterladen - C:\Programme\Xi\NetXfer\NXAddList.html O8 - Extra context menu item: Herunterladen mit NetXfer - C:\Programme\Xi\NetXfer\NXAddLink.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2D9E177E-4276-4BCA-91EB-2E488FEE9A28}: NameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{5CA65108-94D5-4E82-A98F-9F2ADE7A4CAE}: NameServer = 62.109.123.196 213.191.74.18 O20 - Winlogon Notify: fsmgmt - fsmgmt.dll (file missing) O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (file missing) O23 - Service: iPodService - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programme\WinPcap\rpcapd.exe (file missing) O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: TVEnhance Background Capture Service (TBCS) (TVECapSvc) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe (file missing) O23 - Service: TVEnhance Task Scheduler (TTS)) (TVESched) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Danach nochmal SmitFraudFix: Code:
ATTFilter SmitFraudFix v2.323
Scan done at 16:25:36,84, 08.06.2008
Run from D:\Filme\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Winpooch\Winpooch.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\m
»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\m\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Start Menu
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\m\FAVORI~1
»»»»»»»»»»»»»»»»»»»»»»»» Desktop
»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme
»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys
»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\SYSTEM32\\Userinit.exe,"
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 62.109.123.196
DNS Server Search Order: 213.191.74.18
Description: SiS 900-basierte PCI-Fast Ethernet-Adapter - Paketplaner-Miniport
DNS Server Search Order: 192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{2D9E177E-4276-4BCA-91EB-2E488FEE9A28}: NameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{5CA65108-94D5-4E82-A98F-9F2ADE7A4CAE}: NameServer=62.109.123.196 213.191.74.18
HKLM\SYSTEM\CS1\Services\Tcpip\..\{2D9E177E-4276-4BCA-91EB-2E488FEE9A28}: NameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5CA65108-94D5-4E82-A98F-9F2ADE7A4CAE}: NameServer=62.109.123.196 213.191.74.18
HKLM\SYSTEM\CS3\Services\Tcpip\..\{2D9E177E-4276-4BCA-91EB-2E488FEE9A28}: NameServer=192.168.1.1
»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection
»»»»»»»»»»»»»»»»»»»»»»»» End
Mir ist auch aufgefallen, daß das System mit normaler, althergebrachter Geschwindigkeit läuft, wenn ich einen bestimmten "svchost"-Prozess (ca 4kB groß, wohl der gehighjackte) manuell beende. Leider geht danach ziemlich sofort die Meldung auf, RPC-Dings sei unerwartet beendet worden und nach einem 60 Sekunden-Countdown fährt das System runter. "Mach alles platt und spiel neu auf" ist schnell gesagt und würde sich im Normalfall auch von selbst verstehen, aber jetzt ist meine Neugier geweckt. Wenn es nicht ewig dauert und unendlich kompliziert ist, interessiert mich einfach, wie solche Malware heutzutage ungefähr arbeitet und ob man dem mit viel Kleinarbeit von Hand beikommen kann. Vielleicht fällt einem dazu ja eine Vorgehensweise ein. "Nö, Rootkit. Gearscht" wäre natürlich auch eine (nicht so lehrreiche) Option. btw: Ich hatte mal ein kleines Tool, evtl sogar von Microsoft selbst, das die einzelnen Prozesse näher analysierte und das anzeigte. So daß da nicht nur achtmal "svchost" steht und man sich denkt "Mmmmmhhh...". Jemand ne Idee, wie das heissen könnte? |
|
08.06.2008, 15:58
| #2 |
| | System sehr langsam; Wurmkur? Benütze Combofix so wie es hier "BataAlexander" geschrieben hat:
__________________http://www.trojaner-board.de/53665-h...uswertung.html |
|
08.06.2008, 17:50
| #3 |
| > MalwareDB   | System sehr langsam; Wurmkur? Bitte (noch) nicht Combofix anwenden, sondern erst mal Malwarebytes.
__________________
__________________ |
|
09.06.2008, 04:42
| #4 |
| | System sehr langsam; Wurmkur? Vielen Dank erstmal. Malwarebytes sagt: Code:
ATTFilter Malwarebytes' Anti-Malware 1.15
Datenbank Version: 841
05:36:59 09.06.2008
mbam-log-6-9-2008 (05-36-59).txt
Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 86579
Scan Dauer: 46 minute(s), 38 second(s)
Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)
Infizierte Speicher Module:
(Keine Malware Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Trymedia Systems (Adware.Trymedia) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)
Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)
Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)
Infizierte Dateien:
C:\Programme\WinRAR\default.sfx (Rogue.Installer) -> Quarantined and deleted successfully.
Was sagt ihr? |
|
09.06.2008, 08:27
| #5 |
| | System sehr langsam; Wurmkur? Bzw. warum erst das eine, dann das andere. Ein paar Worte zur Begründung wären nett. Als ich das letzte Mal Probleme mit Malware hatte (vor 4-5 Jahren) waren das meistens noch eigene Prozesse, die man u.U. im Taskamanager beenden konnte, um sich dann dem Säubern der Platte zu widmen. Gibt es eurer Meinung nach eine Möglichkeit, den Tunichtgut aus dem Speicher zu kriegen, ohne daß Windows runterfährt (s.o.)? |
|
09.06.2008, 09:42
| #6 | |
| > MalwareDB | System sehr langsam; Wurmkur?Zitat:
Aktuelle Viren sind mit denen von vor vier Jahren nicht mehr zu vergleichen, allein die Bezeichnung der jeweiligen Gattung wird schwierig, da Viren nicht mehr nur eine Funktionnalität eingebaut bekommen. Es sieht nach einer Silly Infektion aus, daher starten wir jetzt doch mal Combofix. ComboFix
Wichtige Hinweise:
Ergänzend lies Dir diese Anleitung durch, drucke sie ggf. aus. Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________ --> System sehr langsam; Wurmkur? |
|
09.06.2008, 12:54
| #7 | |
| | System sehr langsam; Wurmkur?Zitat:
Code:
ATTFilter ComboFix 08-06-08.5 - m 2008-06-09 13:29:24.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.743 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\m\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . ((((((((((((((((((((((( Dateien erstellt von 2008-05-09 bis 2008-06-09 )))))))))))))))))))))))))))))) . 2008-06-09 04:36 . 2008-06-09 04:36 <DIR> d-------- C:\Programme\ Malwarebytes Anti-Malware 2008-06-09 04:36 . 2008-06-09 04:36 <DIR> d-------- C:\Dokumente und Einstellungen\m\Anwendungsdaten\Malwarebytes 2008-06-09 04:36 . 2008-06-09 04:36 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-06-09 04:36 . 2008-06-05 16:04 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-06-09 04:36 . 2008-06-05 16:04 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-06-08 15:35 . 2008-06-08 16:26 1,916 --a------ C:\WINDOWS\system32\tmp.reg 2008-06-08 08:23 . 2008-06-08 08:35 <DIR> d-------- C:\Dokumente und Einstellungen\m\.housecall6.6 2008-06-06 07:16 . 2004-01-19 02:20 409,720 --a------ C:\WINDOWS\wma9dmod.dll 2008-06-06 07:16 . 2004-01-19 02:20 409,720 --a------ C:\WINDOWS\system32\wma9dmod.dll 2008-06-06 07:16 . 2004-01-19 02:20 409,720 --a------ C:\WINDOWS\system\wma9dmod.dll 2008-06-03 23:57 . 2008-06-09 11:26 <DIR> d-------- C:\Programme\Steam 2008-06-01 22:23 . 2008-06-01 22:23 <DIR> d-------- C:\Dokumente und Einstellungen\m\Anwendungsdaten\Wireshark 2008-06-01 21:28 . 2008-06-01 21:29 <DIR> d-------- C:\Programme\Wireshark 2008-06-01 21:28 . 2008-06-08 15:20 <DIR> d-------- C:\Programme\WinPcap 2008-06-01 20:40 . 2008-06-01 20:40 <DIR> d-------- C:\Programme\MIKSOFT 2008-05-29 23:03 . 1999-09-04 21:23 91,136 -ra------ C:\WINDOWS\system32\msls2.dll 2008-05-27 18:24 . 2008-06-06 09:56 17,920 --a------ C:\WINDOWS\system32\_sec_pol_._x_ 2008-05-26 21:10 . 2008-05-28 17:39 47,616 --a------ C:\WINDOWS\system32\_fsmgmt.dl_.tm_ 2008-05-26 21:10 . 2008-06-07 07:10 47,616 --a------ C:\WINDOWS\system32\_fsmgmt.dl_ 2008-05-20 19:39 . 2008-05-20 19:39 <DIR> d-------- C:\Programme\7-Zip 2008-05-20 15:57 . 2008-05-20 15:58 677 --a------ C:\WINDOWS\mozver.dat . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-09 11:39 19,660,832 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2008-06-09 11:20 --------- d-----w C:\Programme\DOSBox-0.72 2008-06-09 07:17 --------- d-----w C:\Programme\Mozilla Thunderbird 2008-06-09 07:14 234,224 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2008-06-08 14:13 --------- d-----w C:\Dokumente und Einstellungen\m\Anwendungsdaten\.purple 2008-06-07 08:51 --------- d-----w C:\Dokumente und Einstellungen\m\Anwendungsdaten\mIRC 2008-06-07 08:50 --------- d-----w C:\Programme\mIRC 2008-06-06 18:49 --------- d-----w C:\Programme\Avidemux 2.4 2008-06-06 05:00 --------- d-----w C:\Dokumente und Einstellungen\m\Anwendungsdaten\gtk-2.0 2008-06-03 06:30 --------- d-----w C:\Dokumente und Einstellungen\m\Anwendungsdaten\OpenOffice.org2 2008-06-01 03:36 --------- d-----w C:\Programme\Soulseek 2008-05-29 00:18 --------- d-----w C:\Programme\ICQ 2008-05-21 20:46 --------- d-----w C:\Programme\Songbird 2008-05-07 19:32 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-05-04 23:53 --------- d-----w C:\Programme\eMule 2008-05-04 19:24 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-04-29 09:39 32 ----a-w C:\Dokumente und Einstellungen\m\sm.bat 2008-04-26 20:42 --------- d-----w C:\Programme\MPlayer_noGUI_rc2 2008-04-26 00:56 --------- d-----w C:\Programme\mplayer 2008-04-21 15:11 --------- d-----w C:\Dokumente und Einstellungen\m\Anwendungsdaten\uTorrent 2008-04-21 14:00 --------- d-----w C:\Programme\Winpooch 2008-04-17 22:41 --------- d-----w C:\Programme\OpenOffice.org 2.4 2008-04-17 22:35 --------- d-----w C:\Programme\Java 2008-04-16 22:03 --------- d-----w C:\Programme\Pidgin 2008-04-15 00:30 --------- d-----w C:\Dokumente und Einstellungen\m\Anwendungsdaten\dvdcss 2008-04-14 15:56 --------- d-----w C:\Programme\DVDStyler 2008-04-11 10:37 --------- d-----w C:\Programme\Winamp 2008-04-03 17:45 4,323,251 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip 2008-04-02 10:25 28,672 ----a-w C:\WINDOWS\system32\qttask.exe 2008-02-17 18:26 26 ----a-w C:\Dokumente und Einstellungen\m\d.bat 2008-02-15 14:32 12 ----a-w C:\Dokumente und Einstellungen\m\f.bat 2008-01-05 10:12 4,786,306 ----a-w C:\Programme\WinAmp v5_03 läuft.zip 2007-12-08 13:58 18 ----a-w C:\Dokumente und Einstellungen\m\p.bat 1999-09-06 17:15 30,208 ----a-w C:\Dokumente und Einstellungen\m\defprint.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Steam"="C:\Programme\Steam\Steam.exe" [2008-06-03 23:58 1271032] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "nwiz"="nwiz.exe" [2007-04-19 13:26 1626112 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="NvMCTray.dll" [2007-04-19 13:26 86016 C:\WINDOWS\system32\nvmctray.dll] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-04-19 13:26 7700480] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "DisableStatusMessages"= 1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "EditLevel"= 0 (0x0) "NoCommonGroups"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.ZMBV"= zmbv.dll "VIDC.SP54"= SP5X_32.DLL "VIDC.SP55"= SP5X_32.DLL "VIDC.SP56"= SP5X_32.DLL "VIDC.SP57"= SP5X_32.DLL "VIDC.SP58"= SP5X_32.DLL [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= R1 Winpooch;Winpooch kernel spy;C:\Programme\Winpooch\Winpooch.sys [2007-04-23 19:12] R2 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-11-06 22:22] R3 LVHybrid;LVHybrid service;C:\WINDOWS\system32\DRIVERS\LVHybrid.sys [2007-01-30 16:20] S3 amdtools;AMD Special Tools Driver;C:\WINDOWS\system32\DRIVERS\AmdTools.sys [] S3 Ca533av;Digital Camera, WDM Video Capture;C:\WINDOWS\system32\Drivers\Ca533av.sys [2002-10-23 13:03] S3 DtvAudio;DtvAudio;C:\WINDOWS\system32\DRIVERS\DtvAudio.sys [2004-02-26 03:42] S3 DtvVideo;DtvVideo;C:\WINDOWS\system32\DRIVERS\DtvVideo.sys [2005-01-03 05:47] S3 jfdcd;jfdcd;C:\DOKUME~1\m\LOKALE~1\Temp\jfdcd.sys [] S3 LwAdiHid;Logitech WingMan-Digitalgeräte (autom. Erkennung);C:\WINDOWS\system32\DRIVERS\LwAdiHid.sys [2004-08-03 23:39] S3 TVECapSvc;TVEnhance Background Capture Service (TBCS);"C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe" [] S3 TVESched;TVEnhance Task Scheduler (TTS));"C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe" [] S3 USBCamera;Digital Camera Still Image Capture;C:\WINDOWS\system32\Drivers\Bulk533.sys [2002-10-23 13:03] *Newly Created Service* - CATCHME . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-09 13:38:40 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-06-09 13:43:28 ComboFix-quarantined-files.txt 2008-06-09 11:42:41 Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:48:45, on 09.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Winpooch\Winpooch.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\NOTEPAD.EXE D:\Filme\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Programme\Xi\NetXfer\NXIEHelper.dll O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Programme\Xi\NetXfer\NXToolBar.dll O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Alles mit NetXfer herunterladen - C:\Programme\Xi\NetXfer\NXAddList.html O8 - Extra context menu item: Herunterladen mit NetXfer - C:\Programme\Xi\NetXfer\NXAddLink.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_04\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2D9E177E-4276-4BCA-91EB-2E488FEE9A28}: NameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{5CA65108-94D5-4E82-A98F-9F2ADE7A4CAE}: NameServer = 62.109.123.196 213.191.74.18 O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (file missing) O23 - Service: iPodService - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programme\WinPcap\rpcapd.exe (file missing) O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: TVEnhance Background Capture Service (TBCS) (TVECapSvc) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe (file missing) O23 - Service: TVEnhance Task Scheduler (TTS)) (TVESched) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 4966 bytes Ich frage mich, warum ComboFix nur einen Monat zurück schaut. Der Schaden besteht zweifelsohne schon deutlich länger. Und, hat der jetzt was gefunden? |
|
09.06.2008, 13:40
| #8 |
| > MalwareDB | System sehr langsam; Wurmkur? Meldet ZoneAlarm den Zugriff immer noch? Du meinst der Infektionszeitpunkt liegt mehr als 30 Tage zurück? Das ist dann aber schon sehr lange, warum meldest Du Dich erst jetzt? Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit einem Packprogramm), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp Credits to Karl83 / KarlKarl  Zur weiteren Untersuchtung würde ich gerne folgende Tools anwenden lassen Flister
GMER - Rootkit Detection * Lade GMER von hier * entpacke es auf den Dektop * Dopperlklicke die gmer.exe * Der Reiter Rootkit oben ist schon angewählt  * Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern * nach Beendigung des Scan, drücke "Copy" * nun kannst Du das Ergebnis hier posten * Sollte GMER sagen "Gmer hasen´t found any System Modifikation", so hat GMER keine Einträge gefunden. Edit: Datei angehängt
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall Geändert von BataAlexander (09.06.2008 um 14:12 Uhr) |
|
09.06.2008, 14:46
| #9 | |
| | System sehr langsam; Wurmkur?Zitat:
FileList zählt auf: Code:
ATTFilter ----- Root -----------------------------
Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: 88A6-807F
Verzeichnis von C:\
09.06.2008 13:43 8.534 ComboFix.txt
08.06.2008 16:28 3.691 rapport.txt
27.01.2008 04:35 2.689 pjx_log.txt
21.12.2007 14:57 211 boot.ini
13 Datei(en) 318.858 Bytes
0 Verzeichnis(se), 8.756.428.800 Bytes frei
----- System32 -------------------------
Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: 88A6-807F
Verzeichnis von C:\WINDOWS\system32
09.06.2008 13:45 353.365 vsconfig.xml
09.06.2008 11:26 88.818 nvapps.xml
08.06.2008 16:26 0 tmp.txt
08.06.2008 16:26 1.916 tmp.reg
07.06.2008 07:10 47.616 _fsmgmt.dl_
06.06.2008 09:56 17.920 _sec_pol_._x_
01.06.2008 19:58 2.206 wpa.dbl
28.05.2008 17:39 47.616 _fsmgmt.dl_.tm_
10.05.2008 20:16 392.296 perfh009.dat
10.05.2008 20:16 58.596 perfc009.dat
10.05.2008 20:16 405.118 perfh007.dat
10.05.2008 20:16 70.580 perfc007.dat
10.05.2008 20:16 938.224 PerfStringBackup.INI
07.05.2008 18:32 236.760 FNTCACHE.DAT
18.04.2008 00:35 6.074 jupdate-1.6.0_04-b12.log
02.04.2008 12:26 802 qtplugin.log
02.04.2008 12:25 28.672 qttask.exe
21.02.2008 06:33 4.212 zllictbl.dat
01.02.2008 01:50 98.304 CmdLineExt.dll
14.01.2008 14:15 81.920 frapsvid.dll
14.12.2007 01:59 139.264 javaws.exe
14.12.2007 01:59 69.632 javacpl.cpl
14.12.2007 00:57 135.168 javaw.exe
14.12.2007 00:57 135.168 java.exe
----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: 88A6-807F
Verzeichnis von C:\WINDOWS\Prefetch
09.06.2008 14:51 14.366 CMD.EXE-087B4001.pf
09.06.2008 14:50 40.054 WINZIP32.EXE-335422C1.pf
09.06.2008 14:24 22.750 I_VIEW32.EXE-0B6C3BA4.pf
09.06.2008 14:23 11.650 RUNDLL32.EXE-451FC2C0.pf
09.06.2008 13:58 78.076 PIDGIN.EXE-2C4BB40A.pf
09.06.2008 13:53 45.330 TASKMGR.EXE-20256C55.pf
09.06.2008 13:52 14.918 NOTEPAD.EXE-336351A9.pf
09.06.2008 13:48 53.182 WMIPRVSE.EXE-28F301A9.pf
09.06.2008 13:46 24.558 WINPOOCH.EXE-312C0E50.pf
09.06.2008 13:46 112.100 FIREFOX.EXE-1D57670A.pf
09.06.2008 13:45 24.518 VSMON.EXE-1609C098.pf
09.06.2008 13:45 38.746 ZLCLIENT.EXE-0120F620.pf
09.06.2008 13:43 22.380 REGEDIT.EXE-1B606482.pf
09.06.2008 13:43 16.944 IMAPI.EXE-0BF740A4.pf
09.06.2008 13:41 28.896 CSCRIPT.EXE-1C26180C.pf
09.06.2008 13:33 11.218 FIND.EXE-0EC32F1E.pf
09.06.2008 13:25 16.532 RUNONCE.EXE-2803F297.pf
09.06.2008 12:14 43.918 DOSBOX.EXE-39F1FAE3.pf
09.06.2008 11:36 46.462 WINAMP.EXE-08C38ED9.pf
09.06.2008 11:35 21.004 SWHELP~1.EXE-0DF9F700.pf
09.06.2008 11:28 15.012 SVCHOST.EXE-3530F672.pf
09.06.2008 11:27 664.116 NTOSBOOT-B00DFAAD.pf
09.06.2008 09:17 100.478 THUNDERBIRD.EXE-031A6371.pf
09.06.2008 08:21 17.564 RUNDLL32.EXE-2E5AF1D7.pf
09.06.2008 08:15 37.886 EINSTEIN.EXE-05B4D7C7.pf
09.06.2008 08:12 137.290 GMPLAYER.EXE-36FDA605.pf
09.06.2008 06:22 13.268 7ZG.EXE-189F3F41.pf
09.06.2008 06:22 45.350 7ZFM.EXE-24800234.pf
09.06.2008 06:10 12.994 CALC.EXE-02CD573A.pf
08.06.2008 16:28 13.748 NOTEPAD.EXE-189578DA.pf
08.06.2008 16:28 7.634 SWREG.EXE-2467CF6C.pf
08.06.2008 16:28 4.336 SRCHSTS.EXE-3185996B.pf
08.06.2008 16:28 11.498 404FIX.EXE-29A19DFE.pf
08.06.2008 16:28 12.462 VACFIX.EXE-2F7F9484.pf
08.06.2008 16:27 59.406 IEDFIX.EXE-0D7F86A4.pf
08.06.2008 16:26 6.754 SWREG.EXE-3688D00C.pf
08.06.2008 16:25 15.038 CHKNTFS.EXE-31921D64.pf
08.06.2008 16:25 19.984 POLICIES.EXE-2BA58425.pf
08.06.2008 16:24 35.510 SMITFRAUDFIX.EXE-1DB855A8.pf
08.06.2008 14:29 15.920 LOGONUI.EXE-0AF22957.pf
08.06.2008 11:51 17.222 CLAMSCAN.EXE-0448C2CF.pf
08.06.2008 11:50 53.982 CLAMWIN.EXE-1BD4F8BC.pf
08.06.2008 11:37 9.670 LONGX912.EXE-135ACE67.pf
08.06.2008 11:37 9.514 LONGX911.EXE-2670BFD9.pf
08.06.2008 11:35 22.314 MSPAINT.EXE-11CBB631.pf
08.06.2008 11:21 29.834 RUNDLL32.EXE-26C45206.pf
08.06.2008 11:18 60.580 ACRORD32.EXE-0BE2C5CE.pf
08.06.2008 11:16 24.134 WORDPAD.EXE-1EFCC5C1.pf
08.06.2008 10:44 27.918 RUNDLL32.EXE-44A0B4BC.pf
08.06.2008 09:55 16.916 NETSTAT.EXE-2B2B4428.pf
08.06.2008 09:39 15.356 RUNDLL32.EXE-1BDFE655.pf
08.06.2008 09:09 54.844 RUNDLL32.EXE-19A2E01D.pf
08.06.2008 09:06 20.742 FRESHCLAM.EXE-192A6E22.pf
08.06.2008 08:37 21.870 MSCONFIG.EXE-35E4DAE9.pf
08.06.2008 08:26 52.752 PATCH.EXE-1C04A9C8.pf
08.06.2008 08:23 24.132 IPCONFIG.EXE-2395F30B.pf
08.06.2008 08:05 16.722 RUNDLL32.EXE-272EEB25.pf
08.06.2008 07:41 14.746 RUNDLL32.EXE-3ECB4619.pf
08.06.2008 05:37 368.792 Layout.ini
07.06.2008 17:22 8.584 TIMESEAL.EXE-11B49BFC.pf
07.06.2008 17:06 43.058 BABASCHESS.EXE-3AA55092.pf
07.06.2008 10:50 33.554 MIRC.EXE-2490861F.pf
07.06.2008 10:50 10.664 AGENTSVR.EXE-002E45AB.pf
07.06.2008 08:55 15.412 RUNDLL32.EXE-48644FAA.pf
07.06.2008 01:20 15.412 RUNDLL32.EXE-4B78C176.pf
06.06.2008 23:57 25.020 ENIGMA.EXE-166B7815.pf
06.06.2008 20:48 97.142 AVIDEMUX2_GTK.EXE-258AD76B.pf
06.06.2008 20:31 14.506 SNDVOL32.EXE-383480B7.pf
06.06.2008 19:23 58.592 AUDACITY.EXE-23DBBCC2.pf
06.06.2008 09:56 10.482 SECPOL.EXE-021898F8.pf
06.06.2008 09:26 48.678 DFRGNTFS.EXE-269967DF.pf
06.06.2008 09:26 16.118 DEFRAG.EXE-273F131E.pf
05.06.2008 21:19 15.178 RUNDLL32.EXE-2FEB5EB0.pf
05.06.2008 21:19 16.666 RUNDLL32.EXE-4295CF68.pf
05.06.2008 21:16 30.352 IEXPLORE.EXE-2CA9778D.pf
05.06.2008 19:55 15.368 RUNDLL32.EXE-12045FDF.pf
05.06.2008 07:48 15.154 RUNDLL32.EXE-3AC9A2E8.pf
05.06.2008 07:35 41.928 DRWTSN32.EXE-2B4B52AC.pf
05.06.2008 07:35 80.184 DWWIN.EXE-30875ADC.pf
05.06.2008 07:12 15.178 RUNDLL32.EXE-14788325.pf
05.06.2008 07:12 83.778 WINRAR.EXE-3588DFE8.pf
05.06.2008 07:01 15.292 RUNDLL32.EXE-48FF9EDA.pf
05.06.2008 06:01 75.526 OTR MULTIDECODER.EXE-22471678.pf
05.06.2008 04:32 41.312 MNPLAYER.EXE-2FC6F4E4.pf
05.06.2008 03:31 18.758 RUNDLL32.EXE-21B03B88.pf
05.06.2008 03:31 18.620 RUNDLL32.EXE-4B504E61.pf
05.06.2008 03:07 34.170 RUNDLL32.EXE-14D95A46.pf
04.06.2008 23:04 17.188 RUNDLL32.EXE-12E27DD0.pf
04.06.2008 16:23 13.058 PING.EXE-31216D26.pf
04.06.2008 14:24 13.312 TRACERT.EXE-0E419688.pf
04.06.2008 01:00 57.648 WORDVIEW.EXE-108548A1.pf
04.06.2008 00:47 16.072 STEAM.EXE-25824B4E.pf
03.06.2008 23:58 21.520 STEAMTMP.EXE-104E27DE.pf
03.06.2008 23:57 33.168 MSIEXEC.EXE-2F8A8CAE.pf
03.06.2008 23:57 9.576 STEAMSERVICE.EXE-0E41E3AC.pf
03.06.2008 11:49 15.178 RUNDLL32.EXE-4D0895BF.pf
03.06.2008 08:26 24.716 SOFFICE.EXE-04734775.pf
03.06.2008 08:26 100.456 SOFFICE.BIN-0C62DC9C.pf
03.06.2008 08:26 8.434 STCLIENT_WRAPPER.EXE-097360FB.pf
03.06.2008 08:26 10.028 SWRITER.EXE-078FAAB6.pf
03.06.2008 08:18 34.294 RUNDLL32.EXE-46811884.pf
03.06.2008 04:34 10.162 SCALC.EXE-12899C16.pf
03.06.2008 02:32 15.432 RUNDLL32.EXE-26ADFB2C.pf
02.06.2008 13:56 15.336 RUNDLL32.EXE-17DA2819.pf
02.06.2008 13:11 15.432 RUNDLL32.EXE-3DE40378.pf
02.06.2008 12:15 34.226 RUNDLL32.EXE-39BF3569.pf
02.06.2008 12:15 45.122 MPLAYERC.EXE-2C78AEED.pf
02.06.2008 03:20 15.710 RUNDLL32.EXE-150C2EC3.pf
01.06.2008 21:34 18.078 DUMPCAP.EXE-2E7FBBCB.pf
01.06.2008 21:32 51.524 WIRESHARK.EXE-18ECBF48.pf
01.06.2008 21:28 31.000 WINPCAP_4_0_2.EXE-2B2D2C83.pf
01.06.2008 21:27 14.786 WIRESHARK V1_00.EXE-2F90FF0F.pf
01.06.2008 20:40 19.602 FFMPEG.EXE-04CB5217.pf
01.06.2008 20:40 22.500 MMC.EXE-0F82E66C.pf
01.06.2008 20:40 18.026 IS-7MNGV.TMP-0E98929A.pf
01.06.2008 20:40 13.798 MOBILE MEDIA CONVERTER.EXE-3AAFD2AF.pf
01.06.2008 20:35 34.074 RUNDLL32.EXE-3C05F6C9.pf
01.06.2008 20:32 34.050 RUNDLL32.EXE-2DB141E4.pf
01.06.2008 20:26 22.210 MPLAYER.EXE-1D63E8FD.pf
01.06.2008 20:20 13.630 RUNDLL32.EXE-249D069D.pf
01.06.2008 05:31 31.816 SLSK.EXE-28D9E96F.pf
31.05.2008 19:55 15.394 ALG.EXE-0F138680.pf
31.05.2008 19:55 17.714 RUNDLL32.EXE-415F88EC.pf
31.05.2008 19:55 12.260 DUMPREP.EXE-1B46F901.pf
31.05.2008 19:55 23.368 RUNDLL32.EXE-2AFB7DC8.pf
31.05.2008 19:55 11.530 NWIZ.EXE-2D0F9FBC.pf
31.05.2008 19:55 18.402 RUNDLL32.EXE-35A483DA.pf
31.05.2008 01:54 15.452 RUNDLL32.EXE-2A83BA1B.pf
28.05.2008 21:58 120.832 VLC.EXE-29851A71.pf
19.05.2008 00:46 16.626 RUNDLL32.EXE-2A94BB85.pf
130 Datei(en) 4.813.316 Bytes
0 Verzeichnis(se), 8.756.301.824 Bytes frei
----- Windows --------------------------
Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: 88A6-807F
Verzeichnis von C:\WINDOWS
09.06.2008 13:38 370 system.ini
09.06.2008 11:26 159 wiadebug.log
09.06.2008 11:26 0 0.log
09.06.2008 11:24 50 wiaservc.log
09.06.2008 11:24 2.048 bootstat.dat
09.06.2008 09:22 1.579.215 setupapi.log
09.06.2008 09:14 193.892 WindowsUpdate.log
09.06.2008 08:28 32.596 SchedLgU.Txt
09.06.2008 05:56 662.478 ntbtlog.txt
20.05.2008 15:58 677 mozver.dat
19.05.2008 11:43 193 PCWGXDRV.INI
10.05.2008 20:48 875 win.ini
08.05.2008 00:20 2.898 scummvm.ini
29.04.2008 10:58 177.755 setupact.log
13.03.2008 04:15 754 WORDPAD.INI
29.02.2008 13:26 14 system ini-zeile.txt
29.02.2008 13:26 390 system.edit.txt
29.02.2008 13:07 84.940 DirectX.log
26.02.2008 12:05 230 RomeTW.ini
30.01.2008 15:20 520 netdet.ini
30.01.2008 15:18 249.856 Setup1.exe
30.01.2008 15:18 73.216 ST6UNST.EXE
29.01.2008 20:57 19.106 wmsetup.log
28.01.2008 08:35 0 PROTOCOL.INI
19.01.2008 01:21 33 Hex Workshop
18.01.2008 17:55 170 HEXWORKS.INI
08.01.2008 19:08 69 NeroDigital.ini
05.01.2008 12:15 155 winamp.ini
22.12.2007 20:56 23.552 comsetup.log
22.12.2007 20:56 13.873 ntdtcsetup.log
22.12.2007 20:55 1.760 regopt.log
22.12.2007 20:54 1.664 imsins.log
22.12.2007 20:54 33.843 FaxSetup.log
22.12.2007 20:54 2.636 ocmsn.log
22.12.2007 20:54 4.376 medctroc.Log
22.12.2007 20:54 35.429 ocgen.log
22.12.2007 20:54 2.403 msgsocm.log
22.12.2007 20:54 5.061 netfxocm.log
22.12.2007 20:54 25.496 tsoc.log
22.12.2007 20:54 94.182 iis6.log
22.12.2007 20:54 1.333 tabletoc.log
22.12.2007 20:54 22.974 msmqinst.log
21.12.2007 14:55 921.654 boot.bmp
21.12.2007 14:43 227 system.old
----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: 88A6-807F
Verzeichnis von C:\WINDOWS\tasks
09.06.2008 11:24 6 SA.DAT
18.08.2001 14:00 65 desktop.ini
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 8.756.301.824 Bytes frei
----- Wintemp --------------------------
Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: 88A6-807F
Verzeichnis von C:\WINDOWS\temp
09.06.2008 13:45 256 ZLT06936.TMP
09.06.2008 13:45 256 ZLT0692d.TMP
2 Datei(en) 512 Bytes
0 Verzeichnis(se), 8.756.301.824 Bytes frei
----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist Volume
Volumeseriennummer: 88A6-807F
Verzeichnis von C:\DOKUME~1\NAME\LOKALE~1\Temp
09.06.2008 14:51 131.017 filelist.txt
09.06.2008 14:50 634 filelist.zip
2 Datei(en) 131.651 Bytes
0 Verzeichnis(se), 8.756.297.728 Bytes frei
Um beides direkt hier einfügen war's ca. 40.000 Zeichen zu lang. Kein Scherz! Dazu muss ich sagen, daß die Dateien mit dem _Untenstrich davor von mir selbst (im abgesicherten Modus) per Hand umbenannt wurden, nachdem ClamAV da angeschlagen hatte. An alle hilfsbereiten Erklärbären: BataAlexander ist erstmal weg, wie er mir eben mitteilte. Wenn also bitte jemand anders übernehmen könnte...? edit: Achso, ob ZoneAlarm noch den Kontaktaufnahme-Versuch meldet? Nee, dieses 4-6malige rauswählen hat der Knilch dankenswerterweise eingestellt. Der fragt nur noch ein einziges Mal, wenn er merkt, daß es softwareseitig ans Netz geht. Geändert von Knecht_0473 (09.06.2008 um 14:53 Uhr) Grund: post scriptum |
|
10.06.2008, 04:20
| #10 |
| | System sehr langsam; Wurmkur? Kann mir noch jemand weiterhelfen? Wenn das die Forenregeln nicht zu sehr untergräbt, erinnere ich einmal am Tag an mein Anliegen. |
|
11.06.2008, 17:26
| #11 |
| | System sehr langsam; Wurmkur? Hallo-ho? Will mir keiner mehr helfen? Ich glaub, ich frag bald mal in nem anderen Forum. |
|
11.06.2008, 21:28
| #12 | |
| > MalwareDB | System sehr langsam; Wurmkur? Ich sehe da nichts, alles nur Zonealarm und Alcohol Einträge. Diese Dateien Zitat:
Woe verhält sich der Rechner denn nun?
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
12.06.2008, 09:10
| #13 | |
| | System sehr langsam; Wurmkur? Hab ich doch schon. Siehe mein allererster Beitrag: Zitat:
Direkt da drüber hatte ich Screenshots entsprechender VirusTotal-Ergebnisse. Gerne mache ich das für dich nochmal: secpol http://s6.directupload.net/images/080612/smyyzgbj.png fsmgmt http://s2.directupload.net/images/080612/fwx52d9z.png Zur momentanen Lage: Der Kerl fragt gelegentlich noch nach, ob er online darf. (Das sieht dann so aus.) Allerdings nur noch alle paar Stunden einmal. Und insgesamt alles sehr langsam. Wenn ich den RPC-svchost-Prozess beende wird's wieder flüssig, aber nach einer Minute ist dann automatisch Schluss (s.o.). Geändert von Knecht_0473 (12.06.2008 um 09:38 Uhr) |
|
12.06.2008, 10:31
| #14 |
| > MalwareDB | System sehr langsam; Wurmkur? Bitte führe einmal dies aus. SDFIX ausführen Download SDFix und speichere es auf dem Desktop. Mache einen Doppelklick auf die SDFix.exe und wähle "Install" um es in den Ordner X:\SDFix zu entpacken (X = Dein Windowslaufwerk)
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
12.06.2008, 16:46
| #15 |
| | System sehr langsam; Wurmkur? SDFix sagt Code:
ATTFilter SDFix: Version 1.191
Run by Administrator on 12.06.2008 at 17:25
Microsoft Windows XP [Version 5.1.2600]
Running From: D:\Filme\SDFix\SDFix
Checking Services :
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Ob sich die Geschwindigkeit verändert kann ich noch nicht sagen. Jedenfalls hat Winpooch sich mal wieder über svchost beschwert und beim Anschalten des Modems kam auch wieder eine ZoneAlarm-Meldung wie oben. |
|
| Themen zu System sehr langsam; Wurmkur? |
| 1.exe, adobe, analysis, application, attention, bho, cs3, ctfmon.exe, einstellungen, explorer, firefox, frage, hijack, hijackthis, hkus\s-1-5-18, home, homepage, internet, internet explorer, langsam, logfile, malware, monitor, mozilla, mozilla firefox, prozesse, rundll, sehr langsam, software, system, userinit.exe, virus, von selbst, windows, windows xp |
Linear-Darstellung
